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Rezumat 


Taxonomia amenințărilor este una cuprinzătoare, cu un accent special pe amenințările de 
securitate cibernetică; adică amenințări care se aplică activelor tehnologiei informației și 
comunicaţiilor. Au fost considerate amenințări suplimentare care nu derivă din TIC pentru a 
acoperi amenințările asupra bunurilor fizice şi, de asemenea, atât dezastrele naturale (care nu sunt 


declanșate direct de oameni), cât şi dezastrele de mediu cauzate direct de oameni. 
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Taxonomia amenințărilor 


Taxonomia amenințărilor este una cuprinzătoare, cu un accent special pe amenințările de 
securitate cibernetică; adică amenințări care se aplică activelor tehnologiei informației și 
comunicaţiilor. Au fost considerate amenințări suplimentare care nu derivă din TIC pentru a 
acoperi amenințările asupra bunurilor fizice şi, de asemenea, atât dezastrele naturale (care nu sunt 
declanșate direct de oameni), cât şi dezastrele de mediu cauzate direct de oameni. 

Taxonomia amenințărilor a fost dezvoltată de Grupul ENISA Threat Landscape (ETL) şi 
reprezintă o consolidare a amenințărilor luate în considerare anterior în alte rapoarte tematice (1) 
şi cercetări ample. Taxonomia include amenințări aplicabile activelor Big Data și numai acestea 
sunt descrise în figură. În subsecţiunea următoare, amenințările specifice Big Data care au fost 
identificate printr-o literatură extinsă, care au fost atribuite categoriilor relevante definite în 


taxonomia de ameninţare a ENISA, sunt mapate la taxonomia activelor Big Data discutate anterior. 


Maparea amenințărilor la activele Big Data 


Această analiză se bazează pe o analiză extinsă a incidentelor de ameninţare reală şi a 
atacurilor la Big Data prezentate în articole, bloguri tehnice, lucrări de conferință, precum şi 
sondaje online pentru colectarea de informații suplimentare. Revizuirea a fost determinată de 
taxonomia generică a amenințărilor ENISA prezentată în secțiunea anterioară. 

În termeni generali, amenințările, precum întreruperea rețelei sau defecţiunile 
infrastructurii de suport, pot afecta puternic Big Data. De fapt, întrucât un set Big Data are milioane 
de bucăţi de date şi fiecare bucată poate fi localizată într-o locaţie fizică separată, această 
arhitectură duce la o dependență mai mare de interconectările dintre servere. Rapoartele tematice 
ENISA anterioare au abordat în profunzime amenințările precum întreruperile şi defecţiunile, care 
afectează legăturile de comunicaţii în reţea (2). Din acest motiv, aici nu luăm în considerare aceste 
amenințări. De asemenea, am ales să nu ne oprim asupra atacurilor fizice (deliberate şi 
intenţionate), a dezastrelor naturale şi de mediu şi a eşecurilor / defecțiunilor (de exemplu, 
disfuncționalităţi ale infrastructurii de suport TIC), deoarece efectele lor sunt puternic atenuate de 
redundanța intrinsecă a Big Data, deși proprietarii de Big Data care îşi instalează sistemele în 


cloud-uri private sau alte infrastructuri locale ar trebui să ia în considerare aceste atacuri (3). 
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În general, o ameninţare este „orice circumstanță sau eveniment cu potenţialul de a avea 
un impact negativ asupra unui activ prin acces neautorizat, distrugere, divulgare, modificare a 
datelor și / sau refuz de serviciu” (4). Având în vedere definiția pe care am dat-o despre Big Data 
(volum, viteză, varietate, veridicitate, variabilitate şi valoare), o ameninţare la adresa unui activ 
Big Data poate fi considerată ca orice circumstanţă sau eveniment care afectează, adesea simultan, 
volume mari de date şi / sau date din diverse surse şi de diferite tipuri şi / sau date de mare valoare. 

De asemenea, identificăm două sub-categorii diferite de ameninţări: breşe („Big Data 
Breach”) şi scurgeri („Big Data Leak”) (5), ortogonal cu taxonomia amenințărilor utilizate. O breşă 
apare atunci când „un activ de informație digitală este furat de atacatori prin pătrunderea în 
sistemele sau rețelele TIC în care este deținut / transportat” (6). Putem defini „breşa Big Data” ca 
furtul unui activ Big Data executat prin pătrunderea în infrastructura TIC. O scurgere de Big Data, 
pe de altă parte, poate fi definită ca divulgarea (totală sau parțială) a unui activ Big Data într-o 
anumită etapă a ciclului său de viaţă. O scurgere de date mari se poate întâmpla, de exemplu, în 
proiectarea inadecvată, adaptarea software necorespunzătoare, sau atunci când un proces de afaceri 
eşuează. În ceea ce privește modelul atacatorului, o breşă Big Data necesită un comportament ostil 
pro-activ (spargerea), în timp ce o scurgere Big Data poate fi exploatată chiar de atacatori cinstiți, 


dar curioşi. 


Grupul de amenințări: Daune neintenţionate/pierderea informaţiilor sau a activelor IT 


se Nate 


erorilor umane, intervenția neintenționată sau utilizarea eronată a administrării sistemelor 
(configurare greșită), pierderea dispozitivelor. 

Ameninţare: Surgerea/partajarea informaţiilor din cauza unei erori umane 

Ameninţările accidentale sunt cele care nu sunt favorizate în mod intenţionat de oameni. 
Acestea se datorează configurării greşite, flisărilor neintenționate şi erorilor de scris (de exemplu 
apăsarea butonului greșit), aplicării greşite a regulilor valide (gestiune slabă a corecțiilor, utilizarea 
numelor şi parolelor implicite de utilizator sau a parolelor uşor de ghicit) şi greșelilor bazate pe 
cunoştinţe (actualizări de software şi blocări, probleme de integrare, defecte procedurale) (7, 8). 

Scurgerea de informaţii din cauza configurării greşite poate fi o problemă comună: 
conform unui studiu recent 9, configuraţiile eronate de administrare a sistemului au condus la 


numeroase deficienţe în patru tehnologii diferite de Big Data; adică Redis, MongoDB, Memcache 
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şi ElasticSearch. Potrivit aceluiaşi studiu, majoritatea acestor produse noi „nu sunt menite să fie 
expuse internetului. [...] Setările implicite ale acestor tehnologii tind să nu aibă nicio configuraţie 
pentru autentificare, criptare, autorizare sau orice alt tip de controale de securitate pe care le 
considerăm de la sine înțeles. Unele dintre ele nici măcar nu au un control de acces încorporat.” 

Mai mult, în trecut, au fost raportate incidente de partajare inadecvată a fişierelor care 
conțin posibile informaţii sensibile şi confidențiale, care au afectat chiar și servicii online foarte 
populare precum Dropbox 10. Acest lucru este confirmat şi de multe sondaje 11. 

Activele vizate de aceste amenințări includ grupul de active „Date” și activul „Aplicaţii şi 
servicii back-end” (cum ar fi, de exemplu, „Servicii de facturare”). 

Ameninţare: Scurgeri de date prin aplicaţii web (API-uri nesigure) 

Diverse surse susțin că Big Data este adesea construită cu puţină securitate 12 13. Noile 
componente software sunt de obicei furnizate cu autorizare la nivel de serviciu, dar puține utilități 
sunt disponibile pentru a proteja caracteristicile de bază şi interfețele de aplicaţie (API). Deoarece 
aplicaţiile Big Data sunt construite pe modele de servicii web, API-urile pot fi vulnerabile la atacuri 
binecunoscute, cum ar fi lista Top Ten Open Web Application Security Project (OWASP) 14, cu 
puține facilități pentru contracararea amenințărilor web comune. 

Vânzătorul de software de securitate Computer Associate (CA) 15 şi alte surse 16 
raportează încălcări ale datelor, din cauza APl-urilor nesigure, în multe industrii, în special în 
rețelele sociale, în serviciile mobile de partajare a fotografiilor şi video, precum Facebook, Yahoo 
şi Snapchat. 

De exemplu, o amenințare a acestei categorii poate consta în atacuri prin injectare la 
tehnologiile Web semantic prin injectarea codului SPARQL 17. Vulnerabilităţile de securitate sunt 
destul de comune în noile limbaje Big Data, cum ar fi SPARQL, RDQL (ambele sunt limbaje de 
interogare doar pentru citire) şi SPARUL (sau SPARQL/Update, care are capabilități de 
modificare). Utilizarea acestor noi limbaje de interogare introduce vulnerabilități deja găsite la o 
utilizare proastă a limbajelor de interogare de stil vechi, deoarece atacurile precum injectarea SQL, 
LDAP şi XPath sunt deja bine cunoscute şi încă periculoase 18. Bibliotecile acestor noi limbaje 
oferă instrumente pentru a valida intrarea utilizatorului și pentru a minimiza riscul. Cu toate 
acestea, „bibliotecile principale de limbaj de interogare ontologic încă nu oferă niciun mecanism 
pentru a evita injectarea de cod” şi fără aceste mecanisme, arsenalul atacatorilor ar putea fi 


îmbunătățit cu injecții SPARQL, RDQL şi SPARQL 19. Alte noi produse software Big Data, cum 


SECURITATEA BIG DATA: AMENINȚĂRI 


ar fi Hive, MongoDB şi CouchDB, suferă, de asemenea, de ameninţări tradiționale, cum ar fi 
execuţia de cod şi injecţia SQL de la distanță 20. 

Activele vizate de aceste ameninţări aparțin grupului „Date” și tipului de active „Modele 
de infrastructură de stocare” (cum ar fi „Sisteme de management al bazelor de date (DBS)” 
şi „Instrumente web semantic”). 

Ameninţare: Proiectare și planificare inadecvate sau adaptare incorectă 

Tehnicile de îmbunătăţire a performanţei analizei Big Data și fuziunea surselor de date 
eterogene cresc redundanța ascunsă a reprezentării datelor, generând copii prost protejate. Acest 
lucru provoacă tehnicile tradiționale de protejare a confidențialității 21 şi trebuie luat în 
considerare efectul redundanței. După cum s-a menţionat deja, redundanța Big Data poate fi văzută 
ca o tehnică de atenuare a amenințărilor pentru atacuri fizice, dezastre şi întreruperi 22, totuşi, în 
unele cazuri, semnalează o slăbiciune a sistemului, fiind un stimulent de risc pentru scurgerile de 
Big Data. Cu alte cuvinte, dacă stocarea noastră Big Data replică înregistrările de date de zece ori 
şi distribuie copiile la zece noduri de stocare dintr-un motiv oarecare (de exemplu, pentru a 
accelera conducta de analiză), cele zece noduri pot ajunge la niveluri diferite de robusteţe a 
securităţii (de ex. , diferite versiuni de software de securitate) și acest lucru va creşte probabilitatea 
dezvăluirii datelor şi a scurgerilor de date. Aceasta poate fi considerată o slăbiciune specifică a 
designurilor Big Data. 

Pe de altă parte, putem observa că chiar şi redundanţa şi replicarea, care sunt caracteristici 
necesare pentru a îmbunătăţi funcționalitatea Big Data, nu sunt întotdeauna sigure împotriva 
pierderii datelor. De exemplu, Hadoop, binecunoscutul cadru pentru procesarea Big Data, replică 
datele de trei ori în mod implicit, deoarece acest lucru protejează împotriva defecțiunilor 
inevitabile ale hardware-ului de bază. Cu toate acestea, o aplicaţie coruptă ar putea distruge toate 
replicările de date 23. De asemenea, studii recente au prezentat ideea că redundanța Hadoop ar 
putea fi chiar un stimulent neliniar de risc pentru scurgerile de megadate (big data) 24. 

Chiar şi designul sistemului de fişiere distribuit Hadoop (HDFS) semnalează probleme așa 
cum este raportat de literatură 25. HDFS stă la baza multor sisteme de stocare pe scară largă a Big 
Data şi este folosit de rețelele sociale. Clienţii HDFS efectuează operaţiuni de metadate ale 
sistemului de fişiere printr-un singur server cunoscut sub numele de Namenode şi trimit şi 
recuperează datele sistemului de fișiere prin comunicare cu un grup de noduri. Pierderea unui 


singur nod nu ar trebui să fie niciodată fatală, dar pierderea Namenode-ului nu poate fi tolerată 26. 
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Rețelele sociale mari, precum Facebook, au suferit această problemă şi au luat contramăsuri 
împotriva amenințării 27 (Hadoop instalat la Facebook include unul dintre cele mai mari clustere 
HDEFS unice, mai mult de 100 PB de spaţiu pe disc fizic într-un singur sistem de fişiere HDFS). 

O altă ameninţare legată de design este lipsa de scalabilitate a unor instrumente. De 
exemplu, NIST raportează că tehnicile originale de gestionare a drepturilor digitale (DRM) nu au 
fost construite pentru a fi la scară şi pentru a satisface cerințele pentru utilizarea prognozată a 
datelor şi „DRM-ul poate eşua să funcționeze în medii cu caracteristici Big Data — în special viteza 
şi volumul agregat” 28 29. 

Activele care sunt vizate de aceste amenințări aparțin grupurilor de active „Date” şi 
„Analitica Big Data” şi tipurilor de active „Software”, „Modele de infrastructură de calcul” şi 


„Modele de infrastructură de stocare”. 


Grupul de ameninţări: ascultarea clandestină, interceptarea şi hijacking 


Acest grup include amenințările care se bazează pe alterarea/manipularea comunicațiilor 
dintre două părți. Aceste atacuri nu necesită instalarea de instrumente sau software suplimentare 


pe infrastructura victimelor. 


Ameninţare: Interceptarea informaţiilor 


O problemă comună care afectează orice infrastructură TIC este atunci când infractorii pot 
intercepta comunicațiile între noduri țintind legăturile de comunicaţie. Diverse surse susțin că 
comunicarea între noduri cu noile instrumente Big Data este adesea nesecurizată (30), că nu este 
dificil să deturnezi o sesiune de utilizator sau să obţii acces neautorizat la servicii din rețelele 
sociale precum Facebook şi Twitter (31) şi că există dovezi ale unor defecte în protocoalele de 
comunicare. (32) 

Distribuţiile de software Big Data (de exemplu Hadoop, Cassandra, MongoDB (33), 
Couchbase) rareori au protocoalele care asigură confidențialitatea şi integritatea datelor între 
aplicaţiile care comunică (de exemplu, TLS şi SSL) activate implicit sau configurate corect (de 
exemplu, schimbarea parolelor implicite). 

Activele vizate de această amenințare aparțin grupurilor de active „Date” şi „Roluri” şi 


activului „Aplicaţii şi servicii back-end”. 
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Grupul de ameninţări: Activităţi/abuzuri nefaste 


Acest grup include amenințările care provin din activități nefaste. Spre deosebire de grupul 
anterior, aceste amenințări impun (deseori) atacatorului să efectueze unele acțiuni care modifică 


infrastructura TIC a victimelor; de obicei cu utilizarea unor instrumente şi software specifice. 


Ameninţare: Fraudarea identităţii 


Sistemele Big Data stochează şi gestionează acreditările pentru accesarea datelor personale 
şi a conturilor financiare cu informaţii precum numerele cardurilor de credit și detaliile de plată şi 
facturare, care sunt ţinte pentru criminalii cibernetici. Sistemele Big Data stochează, de asemenea, 
date de profilare care pot descrie comportamentul utilizatorului, preferințele, obiceiurile, 
călătoriile, consumul de media la un grad ridicat de detaliu, şi pot ajuta atacatorii în forme mai 
elaborate de fraudă prin uzurparea identităţii, creând oportunități mari pentru hoţii de identitate 
(34). 

Deoarece majoritatea sistemelor Big Data sunt construite peste infrastructura cloud, o 
ameninţare la adresa identităţii utilizatorilor este, de exemplu, atunci când se pierde controlul unei 
interfeţe de sistem, fie într-un sistem Big Data bazat pe un cloud public mare, fie într-un cloud 
privat larg utilizat (35). Un atac reuşit asupra unei console oferă atacatorului putere completă 
asupra contului victimei, inclusiv asupra tuturor datelor stocate. Interfeţele de control ar putea fi 
inițial compromise prin împachetarea semnăturii noi și tehnici avansate XSS, apoi escaladarea 
privilegiilor poate duce la fraudă de identitate (36). În timp ce în sistemele informaţionale 
tradiționale pierderea controlului unei interfeţe de consolă ar putea cauza scurgeri limitate de 
informații, în Big Data efectul este amplificat şi impactul este mai sever. 

Ingineria socială nu este o problemă nouă, dar pe măsură ce rețelele sociale devin 
importante atât pentru utilizatorii casnici cât şi pentru companii, atacurile implică adesea ingineria 
socială. Atacatorii au abuzat de rețelele sociale de când au apărut pentru prima dată pe internet. De 
exemplu, vulnerabilitățile XSS de pe Twitter au fost folosite pentru a trimite tweet-uri rău 
intenționate şi false, în timp ce malware-ul de internet a apărut pe Facebook ca mijloc de 
promovare a profilurilor rău intenționate (37). 

Activele vizate de aceste amenințări sunt „Informaţii personale de identificare”, „Aplicaţii 


ŞI servicii back-end” (cum ar fi, de exemplu, „Servicii de facturare”) şi „Servere”. 
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Grupul de ameninţare: Legale 


Acest grup include amenințări datorate implicaţiilor legale ale unui sistem Big Data, cum 
ar fi încălcarea legilor sau reglementărilor, încălcarea legislaţiei, nerespectarea cerințelor 
contractuale, utilizarea neautorizată a resurselor de proprietate intelectuală, abuzul de date cu 


caracter personal, necesitatea supunerii hotărârilor judecătorești şi de tribunal. 


Ameninţare: Încălcarea legilor sau reglementărilor / Încălcarea legislaţiei / Abuzul de date 
cu caracter personal 


Stocarea datelor în Uniunea Europeană intră sub incidenţa directivei privind protecția 
datelor: organizaţiile sunt obligate i) să adere la această lege de conformitate pe toată durata de 
viață a datelor, ii) să rămână responsabile pentru datele cu caracter personal ale clienților şi 
angajaţilor lor şi iii) să garanteze securitatea chiar şi atunci când o terță parte, cum ar fi un furnizor 
de cloud, prelucrează datele în numele lor. 

În modelul tradiţional centrat pe date, datele sunt stocate la nivel local şi fiecare organizaţie 
are control asupra informaţiilor. În schimb, în Big Data, apare o preocupare reală cu privire la 
securitatea acestei cantități masive de informaţii digitale şi protecția infrastructurii critice care o 
susţine, aşa cum demonstrează o vastă literatură despre riscurile de confidenţialitate (38) (39) (40) 
(41). 

De asemenea, trebuie menţionat că UE are reglementări mai stricte în ceea ce privește 
colectarea datelor cu caracter personal decât alte țări, dar uneori multinaționalele care operează în 
UE au sediul în Statele Unite. În acest context, cele mai importante probleme de confidenţialitate 
sunt modul de protejare a confidenţialităţii individuale atunci când datele sunt stocate pe mai multe 
site-uri şi cât de eficientă este protecția la. 

Big Data ridică, de asemenea, potenţiala problemă a rezidenţei datelor (42). Datele, atunci 
când sunt stocate în stocarea cloud a furnizorilor care oferă soluţii de stocare multinaționale, pot 
intra în jurisdicții legale diferite. Un exemplu adus de NIST Big Data Public Working Group se 
referă la custodia datelor farmaceutice dincolo de dispoziţiile de testare, care este neclară, mai ales 
după fuzionarea sau dizolvarea firmelor (43). 

Activele vizate de această amenințare includ grupuri de active „Date” (în special „date de 


înregistrare de identificare”) şi „Roluri”. 
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Grup de ameninţări: Ameninţări organizaționale 


Acest grup include amenințările care ţin de sfera organizațională. 


Ameninţare: Lipsa de calificare 


Analiza seturilor mari de date poate susține noi valuri de creştere a productivității şi 
inovației şi poate debloca o valoare semnificativă. Cu toate acestea, companiile şi factorii de 
decizie politică trebuie să abordeze obstacole semnificative, cum ar fi, de exemplu, o posibilă lipsă 
de oameni de ştiinţă de date şi manageri calificați (44). 


Activul vizat de această ameninţare este grupul de active „Roluri”. 
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(5) E. Damiani, „Toward Big Data Leak Analysis”. Proceedings of Privacy and Security 
of Big Data Workshop (PSBD 2015), IEEE Big Data Conference, San Jose, CA, 1-3 noiembrie 
2015 

(6) A se vedea modelul ISO 15408. 

(7) A se vedea taxonomia erorii umane în sistemele informaționale în Im şi Richard L. 
Baskerville (Georgia State University), „A Longitudinal Study of Information System Threat 
Categories: The Enduring Problem of Human Error”. ACM SIGMIS (2005). 

(8) Conform „IBM Security Services 2014 Cyber Security Intelligence Index” peste 95% 
din toate incidentele investigate recunosc „eroarea umană” și cea mai răspândită eroare umană 
este,,Dublu clic” pe un atașament infectat sau pe o adresă URL nesigură. 

(9) BinaryEdge, o firmă de inginerie de securitate cu sediul în Elveţia, a investigat patru 
tehnologii obişnuite de Big Data, cum ar fi Redis, MongoDB, Memcache şi Elasticsearch şi a găsit 
diverse probleme de configurare. De exemplu, compania a descoperit că zeci de mii de instanţe de 
baze de date NoSQL erau accesibile fără a fi necesară autentificarea. A se vedea 
http://blog.binaryedge.io/2015/08/10/data-technologies-and-security-part-1/, accesat în decembrie 
2015. 
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(10) Techerunch, un editor online popular de ştiri din industria tehnologiei, a raportat că la 
Dropbox, pentru o perioadă scurtă de timp, serviciul a permis utilizatorilor să se conecteze la 
conturi folosind orice parolă. Cu alte cuvinte, oamenii se puteau conecta la contul cuiva doar 
introducând adresa lor de e-mail. Consultaţi http://techcrunch.com/201 1/06/20/dropbox-security- 
bug-made-passwords-optional-for-four-hours/, accesat în decembrie 2015. 

(11) Marea majoritate (mai mult de 80%) a participanților la raportul EMA Research din 
2015 privind securitatea colaborării cu fişierele, sponsorizat de FinalCode, au recunoscut că au 
existat incidente de scurgere de date în organizaţiile lor. Consultaţi 
http:/Avww .finalcode.com/en/how-it-works/resources/ema-report/, accesat în decembrie 2015. 

(12) Securing Big Data: Security Recommendations for Hadoop and NoSOL 
Environments, publicat de compania de securitate  Securosis, în octombrie 2012, 
https://securosis.com/assets/library/reports/SecuringBigData FINAL.pdf, accesat în decembrie 
2015. 

(13) Eduardo B. Fernandez (Departamentul de Calcul şi Inginerie Electronică şi Știința 
Calculatoarelor, Florida Atlantic University), „Security in Data Intensive Computing Systems in 
Handbook of Data Intensive Computing”. Springer (2011), 
http://link.springer.com/chapter/10.1007/978-1-4614-1415-5_16, accesat în decembrie 2015. 

(14) Multe expuneri comune la vulnerabilităţi pentru componentele Big Data, cum ar fi 
Hadoop, sunt raportate pe site-uri web specializate, a se vedea, de exemplu, https://cve.mitre.org 
şi https://Awww.evedetails.com, accesate în decembrie 2015. 

(15) Jaime Ryan (CA, Director Sr.) şi Tyson Whitten (CA, Director of API Management) 
în prezentarea şi webinarul „Takeaways from API Security Breaches” (2015) au raportat încălcări, 
din cauza APl-urilor nesecurizate, pentru Yahoo, Snapchat şi alte companii , consultați 
http://transform.ca.com/ A PI-security-breaches.html?source=A Ablog, accesat în decembrie 2015. 

(16) A se vedea problemele de securitate pentru biblioteca Graph Facebook API raportate 
de blogul tehnic Websegura, http://www.websegura.net/advisories/facebook-rfd-and-open-file- 
upload/, accesat în decembrie 2015. 

(17) A se vedea http://www.morelab.deusto.es/code_injection/ şi următoarea publicație: 
Pablo Orduâa, Aitor Almeida, Unai Aguilera, Xabier Laiseca, Diego Lopez-de-lpiia, Aitor 
Gomez-Goiri, „Identifying'ldentifying Security Issues in the Semantic Web: Injection attacks in 
the Semantic Query Languages“, [V7 Jornadas Cientifico-Tecnicas en Servicios Web y SOA 
(JSWEB 2010p.)], Valencia, Spania. Septembrie 2010, p. 43 - 50. ISBN: 978-84-92812-59-2. 

(18) În octombrie 2015, probabil, o injecție SQL a fost folosită pentru a ataca serverele 
companiei britanice de telecomunicaţii Talk 'Talk's, punând în pericol detaliile personale a până la 
patru milioane de clienți. A se vedea http://www.mobilenewscwp.co.uk/2015/10/23/talktalk- 
hacking-scandal-expert-reaction/, accesat în decembrie 2015. 

(19) Ben Mustapha et al., „Enhancing semantic search using case-based modular 
ontology”. în Proceeding of the 2010 ACM Symposium on Applied Computing. 

(20) De exemplu, versiunea 2.0 Hive suferă de criptare încrucişată, execuție de cod şi 


vulnerabilități de injectare SQL la distanță, consultați 
https://packetstormsecurity.com/files/132136/Hive-2.0-RC2-XSS-Code-Execution-SQL- 
Injection. html. MongoDB suferă atacuri prin injecție, vezi 


https://Awww..idontplaydarts.com/201 1/02/mongodb-null-byte-injection-attacks/. Vedeţi şi alte 
amenințări specifice furnizorului în prezentare https://www.defcon.org/images/defeon-21/dc-21- 
presentations/Chow/DEFCON-2 1-Chow-Abusing-NoSQL-Databases.pdf, accesat în decembrie 
2015. 
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(1) E. Damiani, „Toward Big Data Risk Analysis”, Discurs principal la cel de-al 2-lea 
Atelier internațional de confidențialitate şi securitate a datelor mari (PSBD 2015) 

(22) Atacurile fizice, dezastrele şi, respectiv, întreruperile sunt descrise ca grup de 
amenințări în taxonomia generică a amenințărilor ENISA. 

(23) A se vedea http://www.smartdatacollective.com/michelenemschoff/193731/how- 
your-hadoop-distribution-could-lose-your-data-forever, accesat în decembrie 2015. 

(24) E. Damiani, „Toward Big Data Leak Analysis”, Proceedings of the Privacy and 
Security of Big Data Workshop (PSBD 2015), IEEE Big Data Conference, San Jose, CA, 1-3 
noiembrie 2015 

(25) Aditham, Ranganathan (Departamentul de Informatică şi Inginerie, Universitatea din 
Florida de Sud, Tampa, SUA), „4 Novel Framework for Mitigating Insider Attacks in Big Data 
Systems”. 2015 IEEE International Conference on Big Data 

(26) Toate operaţiunile cu metadate trec prin Namenode. Dacă Namenode nu este 
disponibil, niciun client nu poate citi sau scrie pe HDFS, iar utilizatorii şi aplicaţiile care depind 
de HDFS nu vor putea funcționa corect. Versiunile recente de Hadoop au introdus și alte 
componente pentru gestionarea resurselor pentru a rezolva această problemă. 

(27) A se vedea „Notes by Facebook engineering” în 
https://www.facebook.com/notes/facebook-engineering/under-the-hood-hadoop-distributed- 
filesystem-reliability-with-namenode-and-avata/10150888759153920. Facebook a contribuit la o 
soluţie funcțională pentru a rezolva deficienţele arhitecturale ale failoverului unic Namenode, 
numit Avatarnode. Acesta este un modul cu sursă deschisă care oferă failover şi failback la cald și 
este acum în producţie la Facebook, rulând cel mai mare cluster Hadoop Data Warehouse (100 PB 
spațiu pe disc fizic într-un singur sistem de fişiere HDFS). 

(28) A se vedea NIST Special Publication 1500-4. Use case: consumer digital media 
(exemple: Netflix, iTunes şi altele). 

(29) Xiao Zhang, „A Survey of Digital Riohts Management Technologies”, vezi 
http:/Awvww.cse.wustl.edu/-jain/cse571-1 1/ftp/drm.pdf, accesat în decembrie 2015. 

(30) Securing Big Data: Security Recommendations for Hadoop and NoSOL 
Environments, publicată de compania de securitate Securosis, L.L.C., 12 octombrie 2012. 

(31) A se vedea, de exemplu, „How to prevent a session hijacking attack” in Facebook şi 
Twitter, http://searchmidmarketsecurity.techtarget.com/tip/Defending-against-Firesheep-How-to- 
prevent-a-session-hijacking-attack, accesat în decembrie 2015. 

(32) A se vedea, de exemplu, un atac împotriva confidențialității datelor aflate în tranzit 
prin rețelele nesigure în http://www.isg.rhul.ac.uk/tIs/Lucky13.html, accesat în decembrie 2015. 

(33) A se vedea, de exemplu, documentația MongoDB despre aceasta și greșelile care pot 
compromite baza de date (erori de configurare TTL ŞI altele), 
http://blog.mongodb.org/post/87691901392/mongodb-security-part-ii- 1 0-mistakes- that-can, 
accesat în decembrie 2015. 

(34) Big data creează mari oportunități pentru hoţii de identitate: a se vedea 
http://Awww.c4isrnet.com/story/military-tech/it/2015/01/19/big-data-identity-theft/22004695/, 
accesat în decembrie 2015. 

(35) A se vedea: ]. Somorovsky et al., „All your clouds belong to us: security analysis of 
cloud management interfaces”, în Proceedings of the 3rd ACM workshop on Cloud computing 
security workshop (http://dl.acm.org/citation.cfm?id=2046664) pentru atacuri la Amazon și 
Eucalyptus. Lucrarea oferă o analiză de securitate a interfeţelor de control ale serviciilor Cloud 
publice mari (Amazon EC2 și $3) şi software-ului Cloud privat (Eucalyptus). 
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(36) A se vedea http://Awww.zdnet.com/article/us-cert-warns-of-guest-to-host-vm-escape- 
vulnerability/. Articolul descrie o vulnerabilitate, care afectează sistemele de operare pe 64 de biți 
şi software-ul de virtualizare care rulează pe hardware CPU Intel şi expune utilizatorii la atacuri 
locale de escaladare a privilegiilor sau la o evadare de la o mașină virtuală de la oaspete la gazdă. 

(37) A se vedea Nine  Threats  Targeting Facebook Users în 
http:/Awww .itbusinessedge.com/slideshows/show.aspx?c=90875, accesat în decembrie 2015. 

(38) Venkat N. Gudivada (Universitatea Marshall), Ricardo Baeza-Yates (Laboratoarele 
Yahoo), Vijay V. Raghavan (Universitatea din Louisiana), „Big Data: Promises and Problems”, 
Numărul  nr.03, 2015, publicat de  JEFE Computer Societate. Consultaţi 
http:/Awvww.computer.org/csdl/mags/co/2015/03/mco2015030020.html. Cartea afirmă că 
„veridicitatea — datorită prelucrării intermediare, diversității între sursele de date și în evoluția 
datelor ridică îngrijorări cu privire la securitate, confidențialitate, încredere și responsabilitate, 
creând necesitatea de a verifica proveniența securizată a datelor”. 

(39) White House Big Data Report, publicat la 1 mai 2014. A se vedea 
https://Awww.whitehouse.gov/sites/default/files/docs/big_ data privacy_report may _1_2014.pdf, 
accesat în decembrie 2015. 

(40) A se vedea diverse exemple date de Raymond Chi-Wing Wong, „Big Data Privacy”, 
în Journal of Information Technology & Software Engineering, Department of Computer Science 
and Engineering, Hong Kong University of Science and Technology, China, http://www. 
omicsgroup.org/journals/big-data-privacy-2 165-7866.1000e1 14.php?aid=1 0289. Articolul 
citează diferite cazuri de utilizare: (1) datele persoane ale unui set de date medicale au fost 
identificate din cauza protecției insuficiente a confidențialității, (ii) seturi de date, inclusiv 
jurnalele de căutare, au fost eliberate de un furnizor de internet american, dar a fost posibil să se 
identifice o persoană folosind mai multe persoane- interogări specifice, (iii) un serviciu popular de 
închiriere de filme online cu un sistem de recomandare, filme propuse clienţilor săi pe baza 
preferințelor lor de film anticipate, cu toate acestea, aproape toți abonaţii ar putea fi identificați în 
mod unic, (iv) mulți clienţi de telefonie mobilă folosind bazate pe locaţie serviciile (LBS) au avut 
serioase preocupări legate de confidenţialitate cu privire la dezvăluirea locaţiilor lor împreună cu 
informațiile lor personale. 

(41) S. De Capitani di Vimercati, S. Foresti, P. Samarati, „Managing and Accessing Data 
in the Cloud: Privacy Risks and Approaches”, în Proc. of the 7th International Conference on 
Risks and Security of Internet and Systems (CRiSIS 2012), Cork, Irlanda. 

(42) Vezi Storing Data In The Cloud Raises Compliance Challenges în 
http:/Awww .forbes.com/sites/ciocentral/2012/01/19/storing-data-in-the-cloud-raises-compliance- 
challenges/, accesat în decembrie 2015. 

(43) A se vedea NIST Special Publication 1500-4. Use case: Pharmaceutical clinical trial 
data sharing. 

(44) A se vedea, de exemplu, rapoarte de la McKinsey 
http:/Awvww.mekinsey.com/features/big_data ŞI de la Financial Times 
http://Awww.ft.com/cms/s/0/953ff95a-6045-1 1e4-88d1-00144feabdcO „html/axzz3ntU31M00, 
accesat în decembrie 2015. 
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